Backdoor.Abebot
Backdoor.Abebot
Alexander Antipov
Backdoor.Abebot - это троянская программа, которая "черный ход" и понижает настройки безопасности на скомпроментированной системе.
Backdoor.Abebot - это троянская программа, которая "черный ход" и понижает настройки безопасности на скомпроментированной системе.
При запуске Backdoor.Abebot выполняет следующие действия:
1.Копирует себя в %System%\[random file name].exe
2. Добавляет значение
"[random service name]" = "[random file name].exe -services"
в подключ реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
3. Добавляет значение :
"[random service name]" = "[random file name].exe -services -drivers"
в подключ реестра:
HKEY_USERS\S-1-5-21-679724519-2691042562-2408214785-1006\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run
4. Создает следующий подключ реестра как маркер инфицирования:
HKEY_LOCAL_MACHINE\Software\Microsoft\Connect
5. Открывает "черный ход" в систему на случайном TCP порте и ожидает команд от удаленного атакующего.
"Черный ход" позволяет атакующему выполнять следующие действия на скомпрометированном компьютере:
# Run commands # Retrieve system information and files via FTP, HTTP, or IRC, using DCC send commands # Restart or shutdown the computer # List or kill processes # Perform denial of service attacks # Retrieve a given URL # Port Scan # Send email # Start a SOCKS4 proxy server on a random TCP port # Log keystrokes
6. Понижает настройки безопасности путем завершения процессов влияющих на безопасность системы:
* AdDestroyer.exe
* Alles-ist-vorbei.exe
* Avengine.exe
* Blaargh.exe
* CCPXYSVC.EXE
* CCSETMGR.EXE
* CClaw.exe
* CMESys.exe
* Cheese-Burger.exe
* DateManager.exe
* Desktop-shooting.exe
* EtherD.exe
* FRW.EXE
* GAMECHANNEL.EXE
* GMT.exe
* HijackThis.exe
* IAMAPP.EXE
* IAMSERV.EXE
* KeenValue.exe
* LOCKDOWN2000.EXE
* Lookout.exe
* MCAGENT.EXE
* MWSOEMON.EXE
* McShield.exe
* Mpftray.exe
* NAVAPSVC.EXE
* NAVW32.exe
* NISUM.EXE
* NJEEVES.EXE
* NMain.exe
* NPROTECT.EXE
* NPSSVC.EXE
* NVCSCHED.EXE
* Nip.exe
* Nymse.exe
* PAVFIRES.exe
* Pavproxy.exe
* PrecisionTime.exe
* SAVSCAN.EXE
* SNDSrvc.exe
* SVCH0ST.EXE
* SVCHOSL.PIF
* SYS_ALERT.EXE
* SearchUpgrader.exe
* Smc.exe
* SymWSC.exe
* TBPSSvc.exe
* TaskMan.exe
* TeaTimer.exe
* Tmntsrv.exe
* VetMsg.exe
* ViewMgr.exe
* VirtualBouncer.exe
* WUAUMQR.exe
* Weather.exe
* WeatherOnTray.exe
* WebRebates0.exe
* WebRebates1.exe
* WebSavingsFromEbates0.exe
* WebSavingsFromEbates1.exe
* Zanda.exe
* Zlh.exe
* actalert.exe
* apvxdwin.exe
* avgcc32.exe
* avgserv.exe
* avpcc.exe
* bargains.exe
* bigfix.exe
* blackd.exe
* blackice.exe
* cashback.exe
* ccApp.exe
* ccEvtMgr.exe
* dllhost32.exe
* dmserver.exe
* drweb32w.exe
* drwebscd.exe
* dust.exe
* ethereal.exe
* evntsvc.exe
* filemon.exe
* firedaemon.exe
* guw32.exe
* hbsrv.exe
* imss.exe
* intrenat.exe
* istsvc.exe
* lockdown.exe
* lockdown2000.exe
* lordpe.exe
* mcupdate.exe
* mcvsrte.exe
* mcvsshld.exe
* mghtml.exe
* mgui.exe
* minilog.exe
* mmc.exe
* mostat.exe
* msblast.exe
* mscnt.exe
* msconfig.exe
* msconfig32.exe
* mspmspv.exe
* netmon.exe
* netstat.exe
* nvcoas.exe
* ollydbg.exe
* optimize.exe
* persfw.exe
* portmon.exe
* procdump.exe
* processmonitor.exe
* rcp32.exe
* regedit.exe
* regmon.exe
* rmss.exe
* scvhosts.exe
* smc.exe
* sniffem.exe
* spidernt.exe
* spoolsrv.exe
* stinger.exe
* svchosts.exe
* svcnet.exe
* svshosts.exe
* symlcsvc.exe
* syscfg32.exe
* sysmon.exe
* system32.exe
* taskkill.exe
* tasklist.exe
* tcpview.exe
* tskill.exe
* updmgr.exe
* videodrv.exe
* vsmain.exe
* winka.exe
* winppr32.exe
* winsrv32.exe
* winupdat.exe
* winupdt.exe
* wml.exe
* xcommsvr.exe
* zapro.exe
* zlclient.exe
* zonealarm.exe 7. Изменяет файл hosts, чтобы заблокировать доступ к следующим Web сайтам:
* avp.com
* ca.com
* f-secure.com
* housecall.trendmicro.com
* kaspersky.com
* mcafee.com
* my-etrust.com
* nai.com
* networkassociates.com
* secure.nai.com
* securityresponse.symantec.com
* sophos.com
* symantec.com
* trendmicro.com
* us.mcafee.com
* v4.windowsupdate.microsoft.com
* v5.windowsupdate.microsoft.com
* v5windowsupdate.microsoft.nsatc.net
* viruslist.com
* windowsupdate.com
* windowsupdate.microsoft.com
* www.avp.com
* www.bitdefender.com
* www.ca.com
* www.f-secure.com
* www.kaspersky.com
* www.mcafee.com
* www.my-etrust.com
* www.nai.com
* www.networkassociates.com
* www.pandasoftware.com
* www.ravantivirus.com
* www.sophos.com
* www.symantec.com
* www.trendmicro.com
* www.viruslist.com
* www.windowsupdate.com
* www3.ca.com